一、创建用户
1、语法格式
>db.createUser(
{ user: "
", pwd: "
", customData: {
}, roles: [
{ role: "
", db: " " } | " ", ...
]}
)
参数解释:
user:用户名
pwd:密码
customData: 用于描述账户信息
roles:指定用户的角色,可以用一个空数组给新用户设定空角色;在roles字段,可以指定内置角色和用户定义的角色。
role里的角色可以选:
Built-In Roles(内置角色):
.1. 数据库用户角色:read、readWrite;
.2. 数据库管理角色:dbAdmin、dbOwner、userAdmin;
.3. 集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager;
.4. 备份恢复角色:backup、restore;
.5. 所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
.6. 超级用户角色:root
// 这里还有几个角色间接或直接提供了系统超级用户的访问(dbOwner 、userAdmin、userAdminAnyDatabase)
.7. 内部角色:__system
具体角色:
Read:允许用户读取指定数据库
readWrite:允许用户读写指定数据库
backup,retore:在进行备份、恢复时可以单独指定的角色,在db.createUser()方法中roles里面的db必须写成是admin库,要不然会 报错
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
clusterAdmin:只在admin数据库中可用,赋予用户所有分片和复制集相关函数的管理权限。
readAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读权限
readWriteAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的读写权限
userAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的userAdmin权限,
dbAdminAnyDatabase:只在admin数据库中可用,赋予用户所有数据库的dbAdmin权限。
root:只在admin数据库中可用。超级账号,超级权限
2、举例说明:
>use admin
> db.createUser({user:'superadmin',pwd:'123456', roles:[{role:'root', db:'admin'}]}) ---创建超级管理员用户
> db.createUser({user:'useradmin',pwd:'123456', roles:[{role:'userAdminAnyDatabase', db:'admin'}]}) ---创建用户管理员账户(能查询其他库集合,但不能查询集合内容)
> db.createUser({user:'admin',pwd:'123456', roles:[{role:'readWriteAnyDatabase', db:'admin'}]}) ---创建访问任意库读写的账户
> db.createUser({user:'user1',pwd:'user1',roles:[{role:'readWrite',db:'test'}]}) ---创建只对test库有读写权限的用户
> db.createUser({user:"bkuser2",pwd:"Bkuser2",roles:[{role:"backup",db:"admin"}]}) ---创建用于备份时的用户,如若是恢复权限,则将backup换为restore即可
> db.createUser({user:'useradmin',pwd:'123456',customData:{"desc":"This user is for administrators"},roles:[{role:'userAdminAnyDatabase',db:'admin'}]
3、验证新建用户
用户在哪个库新建授权,则需要在哪个库进行auth验证,注意一点,帐号是跟着库走的,所以在指定库里授权,必须也在指定库里验证(auth)。
>db ---查看当前所在库
test
>db.createUser({user:'test1',pwd:'test1',roles:[{role:'readWrite',db:'test'},{role:'read',db:'Johnny'})})
>use Johnny
Johnny
>db.auth('test1','test1')
Error:Authentication failed.
0 ---表示auth验证失败
>use test
>db.auth('test1','test1')
1 ---表示验证成功
所以说明一点,用户在哪个库创建,就要在哪个库auth认证,并在mongo登录时也要先连接认证库
4、查询用户
查询实例中所有的用户信息
>use admin
>db.system.users.find().pretty() ---将所有用户信息查询出来
显示某一库下的所有用户
>use test
>show users ---显示在此库授权的用户信息
查询指定用户的相关信息:
rs1:PRIMARY>db
Johnny
rs1:PRIMARY> db.getUser("jianlong") ---需要在用户所在库才能执行此命令并获得信息,查询到的信息和“show user”一样,只是可以指定用户罢了
{
"_id" : "Johnny.jianlong",
"user" : "jianlong",
"db" : "Johnny",
"roles" : [
{
"role" : "readWrite",
"db" : "test"
},
{
"role" : "readWrite",
"db" : "Johnny"
}
]
}
rs1:PRIMARY> use tt
switched to db tt
rs1:PRIMARY> db.getUser("jianlong") ---在账户非授权库进行用户信息查询则会提示NULL
null
二、修改用户
1、语法格式
db.updateUser(username,update,writeConcern)
username部分是必须要有的,添加需要更新的username
update部分里内容是可选,但必须有其中一项,例customData、roles、pwd
writeConcern部分是可选项
语法结构:
db.updateUser(
"
", {
customData : {
}, roles : [
{ role: "
", db: " " } | " ", ...
],
pwd: "
" },
writeConcern: {
})
2、举例说明
2.1、修改用户权限
可以通过此命令修改用户的权限,但使用此命令修改权限时,则会覆盖原先的所有权限。例:
rs1:PRIMARY> db.updateUser("root",
{roles:[{role:"readWriteAnyDatabase",
db:"admin"}]
})
在原来权限上新增权限:
rs1:PRIMARY> use Johnny
switched to db Johnny
rs1:PRIMARY> db.grantRolesToUser("jianlong",[{role:'readWrite',db:'test'}]) ---不会覆盖原权限信息,只新增权限
rs1:PRIMARY> show users;
{
"_id" : "Johnny.jianlong",
"user" : "jianlong",
"db" : "Johnny",
"roles" : [
{
"role" : "readWrite",
"db" : "test"
},
{
"role" : "readWrite",
"db" : "Johnny"
}
]
}
rs1:PRIMARY>use tt
rs1:PRIMARY> db.grantRolesToUser("jianlong",[{role:'read',db:'tt'}])
2016-11-09T15:59:20.154+0800 E QUERY [thread1] Error: Could not find user jianlong@tt
---不能在用户非授权库进行用户的权限添加,否则会报错,即表现出账户跟着库走的特点
2.2、修改用户密码
使用db.changeUserPassword(“username","newPasswd")
rs1:PRIMARY> use tt
switched to db tt
rs1:PRIMARY> db.changeUserPassword("tuser","123456") ---注意要在账户所在授权库执行此命令
2.3、删除用户
>db.dropUser("test1")